|
Цитата:
Если могу у себя, то как это сделать? Никогда раньше не прописывал маршруты руками. |
В винде есть хелп по командам, команда называется route.
У меня винды нет, на работе и дома живу в линуксе. |
Помогите решить задачу, С помощю VPN-соединения подключаюсь к удаленной сети,но проблема в том что одновременно может подключитса только один комп,тоисть одновременно два подключения не идут, (пользователей на VPN-сервере /Linux/ прописано около 5). ошибка 619 порт закрит, интернет получаю с помрщю ADSl модема AIRTEIST PT-103.
Функцию VPN pass-t . поддерживает, можно ли его настроить таким образом что-бы одновременно шло 2 и больше VPN-соединения с удаленной сеттю, модем являетса,одновременно,фаерволом и маршрутизатором, работает в режиме router соединение ppoe если можно, то что в модеме нужно , подправит. |
Исходные данные:
1. ADSL модем Zyxel P660HT2, работает в режиме route. Подключается к провайдеру через PPPoE. Ему присваивается статический адрес (WAN_modem). Например 89.204.63.63 У него есть локальный адрес (LAN_modem): 10.1.1.1 2. К модему подключен сервер debian, который выполняет функции firewall'a. У него есть WAN адрес 10.1.1.2 и LAN адрес 192.168.1.1 3. Во внутренней сети есть пользователи и сервера, имеющие адреса 192.168.1.10-192.168.1.254, соответственно шлюзом для них является debian. Сегодня поднял pppoe-server debian. Подключение из локальной сети прошло успешно, адрес указанный в конфигах 192.168.1.2 был присвоен подключавшемуся. Дальше стало хуже. Цель всей этой затеи был следующая. Есть филиал с сервером filial, и хочется, чтобы он (filial) при подключении снаружи по pppoe, на адрес 89.204.63.63 получал тот самый адрес 192.168.1.2 и мы видели их сервер, будто он в нашей сети. Я вижу вариант с переводом модема в режим bridge и правки iptables на debian, быть может есть более простые решения? |
филиал на какой адрес подключается? хотя в любом случае, если
Цитата:
вообще в конфигах диапазон выдаваемых для vpn-соединений ip должен задаваться. Цитата:
|
Цитата:
Может порт какой нужно пробросить с модема на debian? |
KalaSh, достаточно на модеме пробросить соответствующий порт на машину с debian (на 10-й интерфейс), насколь я понимаю... Насчёт адресации - нужно чтобы нигде не было пересечения адресов.
Т.е. если LAN имеет адрес 192.168.1/24, то "на той стороне" (где находится удалённый сервер) должна использоваться другая сеть, например 192.168.0/24, а на VPN - третья, например 172.16.0/24 дабы Debian мог нормально роутить между собой локалки и VPN. Ну, и "всем заинтересованным лицам" (компам) нужно будет прописАть соответствующие маршруты. Компам в локалке - пофиг, у них и так дебиан стоит шлюзом по умолчанию и они всё равно весь нелокальный траффик отправляют на него. А вот Filial нужно будет объяснить, что весь траффик для 192.168.1/24 нужно направлять на шлюз 172.16.0/24 (в качестве которого используется соответствующий интерфейс Debian). Это можно сделать при выдаче IP-адреса на PPPoE-соединение. Цитата:
|
Цитата:
|
Судя по http://manuals.kerio.com/wrp/en/148.htm это порт 1723...
|
Так вот понять не могу какой порт пробросить. Так-то у меня с 10-к портов туда проброшены (21, 22, 3389, 4899 и т.д.)
netstat -lpn нужной информации не дал Нажмите здесь, чтобы увидеть текст полностью
netstat -lpn
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 3542/cyrmaster tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 3542/cyrmaster tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 3278/portmap tcp 0 0 127.0.0.1:2000 0.0.0.0:* LISTEN 3542/cyrmaster tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN 3604/inetd tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN 3588/hddtemp tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3604/inetd tcp 0 0 0.0.0.0:119 0.0.0.0:* LISTEN 3542/cyrmaster tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 3686/master tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 3695/pptpd tcp6 0 0 :::110 :::* LISTEN 3542/cyrmaster tcp6 0 0 :::143 :::* LISTEN 3542/cyrmaster tcp6 0 0 :::22 :::* LISTEN 3709/sshd tcp6 0 0 :::119 :::* LISTEN 3542/cyrmaster udp 0 0 0.0.0.0:111 0.0.0.0:* 3278/portmap Active UNIX domain sockets (only servers) Proto RefCnt Flags Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 10145 3686/master private/tlsmgr unix 2 [ ACC ] STREAM LISTENING 10149 3686/master private/rewrite unix 2 [ ACC ] STREAM LISTENING 10153 3686/master private/bounce unix 2 [ ACC ] STREAM LISTENING 10193 3686/master private/discard unix 2 [ ACC ] STREAM LISTENING 10157 3686/master private/defer unix 2 [ ACC ] STREAM LISTENING 10161 3686/master private/trace unix 2 [ ACC ] STREAM LISTENING 10165 3686/master private/verify unix 2 [ ACC ] STREAM LISTENING 10169 3686/master public/flush unix 2 [ ACC ] STREAM LISTENING 10197 3686/master private/local unix 2 [ ACC ] STREAM LISTENING 10201 3686/master private/virtual unix 2 [ ACC ] STREAM LISTENING 10205 3686/master private/lmtp unix 2 [ ACC ] STREAM LISTENING 1558178 23319/lpd /dev/printer unix 2 [ ACC ] STREAM LISTENING 10209 3686/master private/anvil unix 2 [ ACC ] STREAM LISTENING 10213 3686/master private/scache unix 2 [ ACC ] STREAM LISTENING 10217 3686/master private/maildrop unix 2 [ ACC ] STREAM LISTENING 10221 3686/master private/uucp unix 2 [ ACC ] STREAM LISTENING 10225 3686/master private/ifmail unix 2 [ ACC ] STREAM LISTENING 10229 3686/master private/bsmtp unix 2 [ ACC ] STREAM LISTENING 10233 3686/master private/scalemail-backend unix 2 [ ACC ] STREAM LISTENING 10173 3686/master private/proxymap unix 2 [ ACC ] STREAM LISTENING 10177 3686/master private/smtp unix 2 [ ACC ] STREAM LISTENING 10237 3686/master private/mailman unix 2 [ ACC ] STREAM LISTENING 10241 3686/master private/retry unix 2 [ ACC ] STREAM LISTENING 10181 3686/master private/relay unix 2 [ ACC ] STREAM LISTENING 10185 3686/master public/showq unix 2 [ ACC ] STREAM LISTENING 10189 3686/master private/error unix 2 [ ACC ] STREAM LISTENING 10034 3542/cyrmaster /var/run/cyrus/socket/lmtp unix 2 [ ACC ] STREAM LISTENING 10138 3686/master public/cleanup |
Цитата:
ps. netstat - мутная какая-то команда, я так и не научился ее готовить :idontnow: . sockstat (в БСД идет в окружении системы, в дебиане ставится дополнительно) имхо удобней... |
Цитата:
На машине стоит pppd для PPPoE. В папке /etc/ppp/ по слову port ничего нашел, но чуть погуглив получил наводку Borland'a. telnet 10.1.1.2 1723 даёт ответ. Буду дальше пробовать. Изначально не мог понять, что за порт там используется и соответственно не мог понять, что пробрасывать. Borland, Plague спасибо большое за дискуссию. |
простите, а причем здесь pppoe?
|
Цитата:
|
Цитата:
Код:
c:\>ipconfigКод:
c:\>route print |
Borland
не забывайте, что PPPoE -протокол канального уровня в модели OSI, PPPtP и L2TP по факту сеансовые уровни. PPP фреймы не полезут через роутер... KalaSh отключите в свойствах соединения VPN шлюз по умолчанию. либо настраивайте dhcp сервер |
Если честно, совершенно ничего не понял из твоего сообщения, - а что собственно нужно, но попробую стелепатировать:
подключаемся через виндовое "Подключение к удаленному рабочему месту через VPN"? свойства соединения - вкладка сеть - tcp/ip - свойства - дополнительно - галка использовать основной шлюз в удаленной сети. |
1)
Цитата:
Цитата:
Ни о каком роутинге в этом случае речь идти в принципе не может... Домашнюю локалку нужно поменять (например на 192.168.0/24). 2) Грубо нарушено ещё одно правило - для VPN выделен недопустимый диапазон адресов. Читать внимательно 3) Не надо использовать PPPoE-шлюз в качестве default gateway (за исключением того случая, если это провайдерский PPPoE, через который обеспечивается доступ в инет). См. параграф "Use the Local Default Gateway" тут: http://www.dd-wrt.com/wiki/index.php/VPN_%28tutorial%29 . Он должен быть только шлюзом для доступа в сеть 192.168.1/24 Цитата:
Цитата:
|
Цитата:
Цитата:
option /etc/ppp/pptpd-options logwtmp localip 172.20.1.1 remoteip 172.20.1.100-238 |
ну, соственно, сами нашли. осталось только отключить шлюз по умолчанию
|
Всё равно, что-то где-то я упустил. Узлы 172.20.1.10 и 172.20.1.100 видят оба 172.20.1.1
Route add прописал на обеих машинах. А друг друга они всё-равно не могут запинговать. iptables на 172.20.1.1 я поправил. Нажмите здесь, чтобы увидеть текст полностью
gatty:/home/xxx# ping 172.20.1.10
PING 172.20.1.10 (172.20.1.10) 56(84) bytes of data. --- 172.20.1.10 ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 1010ms gatty:/home/xxx# ping 172.20.1.100 PING 172.20.1.100 (172.20.1.100) 56(84) bytes of data. 64 bytes from 172.20.1.100: icmp_seq=1 ttl=128 time=11.5 ms 64 bytes from 172.20.1.100: icmp_seq=2 ttl=128 time=10.9 ms --- 172.20.1.100 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 10.955/11.275/11.596/0.337 ms gatty:/home/xxx# nmap -P0 172.20.1.10 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-07-01 03:02 YEKST Interesting ports on 172.20.1.10: Not shown: 1677 filtered ports PORT STATE SERVICE 25/tcp closed smtp 3389/tcp open ms-term-serv 4899/tcp open radmin Nmap finished: 1 IP address (1 host up) scanned in 55.757 seconds gatty:/home/xxx# nmap -P0 172.20.1.100 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2010-07-01 03:03 YEKST Interesting ports on 172.20.1.100: Not shown: 1675 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 990/tcp open ftps 1723/tcp open pptp Nmap finished: 1 IP address (1 host up) scanned in 21.210 seconds gatty:/home/xxx# ps axf | grep pptpd 7536 pts/0 S+ 0:00 \_ grep pptpd 7188 ? S 0:00 pptpd [188.126.60.70:0B63 - 0080] 7189 ? S 0:00 \_ /usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 172.20.1.1:172.20.1.100 ipparam 188.126.60.70 plugin /usr/lib/pptpd/pptpd-logwtmp.so pptpd-original-ip 188.126.60.70 7260 ? Ss 0:00 /usr/sbin/pptpd 7261 ? S 0:00 \_ pptpd [70.121.70.34:0D06 - 0000] 7262 ? S 0:00 \_ /usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 172.20.1.1:172.20.1.10 ipparam 70.121.70.34 plugin /usr/lib/pptpd/pptpd-logwtmp.so pptpd-original-ip 70.121.70.34 gatty:/home/xxx# route -n | grep 172.20.1.10 172.20.1.100 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 172.20.1.10 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1 gatty:/home/xxx# iptables -t nat -L | grep 172.20.1.0 MASQUERADE 0 -- 172.20.1.0/24 anywhere MASQUERADE 0 -- anywhere 172.20.1.0/24 Нашел неплохую статью по организации pptpd, может кому тоже пригодится. . Помощь мне всё еще нужна. |
Товарищ albo имел ввиду, PPPoE сервер, к которому проводится подключение, должен быть доступен хосту на втором уровне модели OSI, т.е. при PPPoE подключении никак не фигурирует адрес сервера.
А здесь Kalash, судя по конфигам, настраивает PPTP соединение. Я немножко не понял с прошлых сообщений - установилось соединение или нет. Думаю, что нет, потому что окромя TCP порта 1723, нужно пробрасывать ещё и GRE протокол через модем. Это что касается PPTP подключений. Думается, что правильнее будет, всё-таки, делать модем бриджом, на сервере настраивать PPPOE подключение к оператору, и далее уже включать PPTP сервер на оном. Ага, вот и статья: http://www.cisco.com/en/US/tech/tk82...800949c0.shtml Configuring PPTP Through PAT to a Microsoft PPTP Server |
KalaSh, ты скажи, у тебя соединение устанавливается или нет?
И какой сервер ты настраиваешь PPPoE или PPTP? Я так понял из конфигов, что PPTP. Тогда, как абсолютно правильно заметил ivahaev тебе надо, чтобы модем имел функцию GRE through. |
ivahaev, FantomIL, соединение устанавливается.
Рекомендации относительно проброса порта и GRE сделаны. Нажмите здесь, чтобы увидеть текст полностью
How do I configure my Prestige router to allow PPTP VPN pass-through?
Solution: You must configure two parts. 1) Port forwarding: set a NAT port forwarding rule to forward PPTP (TCP port 1723) to the IP address of your internal server - there is a predefined PPTP service in the list 2) Firewall: you must create a WAN to LAN firewall rule to permit Source IP - as required, typically any Destination IP - single IP - the address of your internal server Services - PPTP (TCP:1723) and PPTP_TUNNEL(GRE:0) - you can add two services to one rule Выданные двум клиентам адреса в данном случае (172.20.1.100 и 172.20.1.101) пингуют шлюз (172.20.1.1), но не пингуют друг друга. Я в прошлом сообщении специально сделал пинг с сервера и тест портов (nmap) - мол гляньте, хосты живы. Промежуточный шлюз пингуется с клиентов, а дальше пинг не проходит. [offtop]Сегодня уже на Kerio Winroute проделали такую же процедуру. Подняли pptp сервер и клиентскую часть - полёт нормальный. Клиенты друг друга видят. Просто и эту тему хочется добить нормально, но сроки уже поджимают.[/offtop] |
KalaSh
форвардинг включен на интерфейсе? |
albo, машина 3.5 года роутером работает
gatty:/home/xxx# cat /proc/sys/net/ipv4/ip_forward 1 |
ну посмотрите по логам, скорее всего это firewall
|
Мне проще правила iptables показать.
Нажмите здесь, чтобы увидеть текст полностью
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward IPTABLES="/sbin/iptables" EXTIF="eth1" INTIF="eth0" $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F $IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 3389 -j DNAT --to-destination 192.168.1.100 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.100 --dport 3389 -j SNAT --to-source 192.168.1.1 $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 4899 -j DNAT --to-destination 192.168.1.77 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 4899 -j SNAT --to-source 192.168.1.1 #Kazan_kpk 6000 $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 6000 -j DNAT --to-destination 192.168.1.77 $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 3050 -j DNAT --to-destination 192.168.1.77 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 6000 -j SNAT --to-source 192.168.1.1 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.77 --dport 3050 -j SNAT --to-source 192.168.1.1 #probros porta s vneshnei seti na voip shluz #$IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 80 -j DNAT --to-destination 192.168.1.10 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.10 --dport 80 -j SNAT --to-source 192.168.1.1 $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p tcp --sport 1024:65535 --dport 5060 -j DNAT --to-destination 192.168.1.10 $IPTABLES -t nat -A PREROUTING -d 10.1.1.2 -p udp --sport 1024:65535 --dport 5060 -j DNAT --to-destination 192.168.1.10 #Link1 Pravilo probrosa 80-go porta iz vnuntrennei seti na modem $IPTABLES -t nat -A PREROUTING -d 192.168.1.1 -p tcp --sport 1024:65535 --dport 80 -j DNAT --to-destination 10.1.1.1 $IPTABLES -t nat -A PREROUTING -d 192.168.1.1 -p udp --sport 1024:65535 --dport 80 -j DNAT --to-destination 10.1.1.1 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 192.168.1.10 --dport 5060 -j SNAT --to-source 192.168.1.1 $IPTABLES -t nat -A POSTROUTING -p udp --dst 192.168.1.10 --dport 5060 -j SNAT --to-source 192.168.1.1 #VPN $IPTABLES -A FORWARD -p 47 -s 172.20.1.0/24 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -s 172.20.1.0/255.255.255.0 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -d 172.20.1.0/255.255.255.0 -j MASQUERADE #Link1 $IPTABLES -t nat -A POSTROUTING -p tcp --dst 10.1.1.2 --dport 80 -j SNAT --to-source 10.1.1.1 $IPTABLES -t nat -A POSTROUTING -p udp --dst 10.1.1.2 --dport 80 -j SNAT --to-source 10.1.1.1 $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG --log-level info $IPTABLES -A FORWARD -p tcp --dport 3389 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 6000 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 3050 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 80 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 5060 -j ACCEPT $IPTABLES -A FORWARD -p udp --dport 5060 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 4899 -j ACCEPT $IPTABLES -A FORWARD -p udp --dport 4899 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.100 -p tcp --sport 3389 -j ACCEPT #Kazan_kpk 6000 $IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 6000 -j ACCEPT #$IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 4899 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.77 -p tcp --sport 3050 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.10 -p tcp --sport 5060 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.10 -p udp --sport 5060 -j ACCEPT #Link1 $IPTABLES -A FORWARD -s 10.1.1.1 -p tcp --sport 80 -j ACCEPT $IPTABLES -A FORWARD -s 10.1.1.1 -p udp --sport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 3389 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 6000 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 3050 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 5060 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 5060 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 4899 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 4899 -j ACCEPT #Link1 $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # MDM Bank #$IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp --dport 4434 -j ACCEPT #$IPTABLES -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 4434 -j ACCEPT $IPTABLES -A FORWARD -p tcp --sport 4434 -j ACCEPT |
а что за протокол 47?
|
albo, это GRE протокол.
Я вот только в IPTABLES не шарю - PF-ом пользуюсь. Так вот в PF, VPN-интерфейс тоже надо описывать. |
я просто как бы не в курсе: надо его форвардить или нет) но таки да, VPN не описан
|
albo, может я чего упустил, но рекомендации по правилам iptables для VPN брал из ссылки, которая описАна тут
http://imho.ws/showpost.php?p=1715047&postcount=102 |
там описана маршрутизации из приватки в локалку. а вам нужен форвардинг между клиентами приватки. у меня OpenVPN и интерфейс tun0
iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT |
Имеется подключение через ETHERNET (витая пара) напрямую в ноут. Сеть локальная городская , а через неё подключение к ИНТЕРНЕТУ (VPN - PPTP)
Провайдер рекомендует маршрутизаторы D-LINK DIR-300 и TP-LINK WR340GD , также надо , чтобы раутер был с DUAL ACCESS , но не обязательно... Это старые роутеры со слабым WI-FI , я присмотрел TP-LINK TL-WR841ND (2 антены , мощный WI-FI , да и по цене класс) , только вот в инструкции к нему пишеться , что у него поддержка только PPPoE про PPTP ни слова ... ВОПРОС Получится ли у меня подключиться по VPN через PPTP ??? |
Цитата:
Цитата:
Кстати, судя по описалову firmware на сайте производителя (http://www.tp-link.com/ru/support/download.asp?a=1&m=TL-WR841ND&h=V7)- есть в родной паршивке и L2TP, и PPTP. Во всяком случае - если речь идёт о последней аппаратной модификации (v7)... |
Привет всем. Возникла потребность в ВПН-сервере (или соединении), но опыта организации у меня в этом 0. Только подключался к уже готовым ВПНам.
Прошу помощи, сейчас расскажу что есть и какие задачи. Задача такая: нужно прятать трафик от провайдера, т.к. он крайне ненадежен (неоднократно выявлено) путем подключения к домашнему ВПН и фактически нужно выходить в инет под айпи домашнего компа с этим инетом. Что есть: Дома стоит Zyxel keenetic lite за ним стоит комп с win7 x64 ultimate + outpost firewall 8.0 pro Вот к этому самому компу и нужно подключаться. Локальная сеть между ними не нужна, интересует интернет. Что предпринималось: штатными средствами винды было создано входящее подключение - ВПН. В роутере проброшен порт 1723. В файрволле все разрешено (на всякий случай он выключался, для 100%ности теста). На локальном соединении нажато правой кнопкой мыши и разрешено юзать интернет другим пользователям. Что получилось: клиент (тестил очень просто - рядом на стол поставил ноут и воткнул юсб свисток - им и коннектился) находил ВПН по айпи (IP, кстати, статический, все как положено), успешно подключался, но интернета не видел. Естессно я гуглил, нашел вот такую штуку для Win7: Цитата:
Пробовал писать роуты, скрещивая между собой сети (локальную, которую выдает роутер 192.168.1.х и те, которые ставил в ВПН - это было и 10.8.0.Х и 10.1.1.х и 172.16.х.х и 192.168.0.х - чего только не было за период теста). Роуты писал разные (возможно и неправильно, но перебирал максимум вариантов) В общем, интернета на подключаемом компе я не увидел. Пока гуглил обратил внимание на то, что ооочень много народа пишет, что у них не получилось на вин7 сделать ВПН-подключение и чтобы в нем был инет. Далее я попробовал поставить OpenVPN и мутануть ВПН через него. Откровенно говоря нихрена не вышло, комп (по IP) даже не нашелся для подключения. Великие гуру - плиз хелп ми :) Что и как мне нужно сделать, чтобы я мог подключаться к своему домашнему компу и юзать его инет? |
роуты писать при таких раскладах излишне - достаточно прописать ip vpn-сервера (разумеется, в самой VPN) шлюзом.
Аутпост на сервере отключал на время экспериментов? Разумеется, на совсем его отключать не нужно, но на время настройки - чтоб "не путал карты" - стОит.. OpenVPN на винде сервером не ставил, только на Фре, но интернеты у меня через нее ходят безо всяких напрягов... Порт кстати, у ней другой по умолчанию... (1194) |
Цитата:
В винде с айпишками, насколько я понял, можно только в 1 месте играться - в свойствах протокола ipv4. Там есть возможность рулить только так: http://s55.radikal.ru/i150/1301/63/ab171f60a571.jpg Цитата:
Цитата:
|
Цитата:
по OpenVPN: сетевой интерфейс появился? входящий порт (telnet xx.xx.xx.xx 1194) щупается? когда что-то подключалось, помимо сообщения о подключении - какие-то более "ощутимые" признаки прохождения пакетов на сервер были? ну, в шару какую постучаться, например... хотя шара на вин7 - это еще один бубен нужен :biggrin: Борланд вроде на винде OpenVPN подымал, - ща пну его :) |
Цитата:
Для того, чтобы интернет "шёл через VPN" - это соединение должно быть шлюзом по умолчанию (желательно - единственным или как минимум с наивысшим приоритетом). Либо прописанным шлюзом для конкретных сайтов. При этом маршрут до собственно VPN-сервера (в случае, если на VPN повешен шлюз по умолчанию) должен быть жёстко прописан через имеющееся соединение интернет (иначе VPN невозможно подключить). Сейчас провёл эксперимент. На VPN-сервере пришлось отключать Agnitum OSS8 (с настройками морочиться лень, у меня этот самый VPN используется исключительно для того, чтобы можно было с сервера удалённым доступом попасть на клиента, который не имеет "белого" IP). И прописал клиенту маршрут на имху через VPN. Доступ есть. OpenVPN. На сервере IPEnableRouter=1.
Чтобы понять, что у Тебя не так - нужно иметь представление о конфиге сети. Соответственно - результаты выполнения Код:
ipconfig /all |
| Часовой пояс GMT +4, время: 14:04. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.